CrowdStrike와 Google, 개발자 표적 봇넷 차단
원제: CrowdStrike and Google take down botnet used by hackers to target software developers in supply chain attacks
왜 중요한가
오픈소스 공급망을 표적으로 한 대규모 봇넷 차단으로 소프트웨어 생태계 보안 강화에 기여
CrowdStrike가 Google, Shadowserver와 협력해 오픈소스 소프트웨어 개발자를 표적으로 한 Glassworm 봇넷을 차단했다고 5월 27일 발표했다. 해커들은 2년간 공급망 공격을 통해 300개 이상의 GitHub 저장소를 감염시켰으며, 4개의 명령제어 채널이 차단됐다.
CrowdStrike는 Google, 비영리 사이버보안 기관인 Shadowserver와 협력해 사이버범죄자들이 오픈소스 소프트웨어 개발자들에게 악성코드를 유포하고 비밀번호를 탈취하는 데 사용한 Glassworm 봇넷을 차단했다고 발표했다. 이 작전은 2년간 오픈소스 소프트웨어 공급망을 표적으로 해온 해커 그룹의 활동을 차단하는 것이 목표였다. 해커들은 개발자 마켓플레이스에 악성 확장 프로그램을 게시하고, 스폰서 검색 결과를 통한 악성 광고, 이전 해킹에서 탈취한 인증 정보를 이용해 개발자 계정을 탈취하는 등 다양한 전략을 사용했다. CrowdStrike에 따르면 해커들은 최종적으로 300개 이상의 GitHub 코드 저장소를 감염시켰다. 차단 작전에서는 Solana 블록체인, BitTorrent P2P 네트워크, Google Calendar, 가상 사설 서버를 활용한 4개의 명령제어 채널이 차단됐다. CrowdStrike는 "공격자들이 더 이상 제품만 표적으로 하는 것이 아니라 제품을 개발하는 개발자들을 표적으로 하고 있다"며 "개발자 한 명의 워크스테이션 침해가 수천 개 조직에 영향을 미치는 공급망 침해로 확산될 수 있다"고 경고했다.